Comunicado de segurança sobre execução de comandos via upload de arquivos não seguros do Veritas InfoScale Operations Manager (VIOM)

VTS23-009

Comunicado de segurança sobre execução de comandos via upload de arquivos não seguros do Veritas InfoScale Operations Manager (VIOM)

Histórico de revisões

1.0: 12 de julho de 2023: versão inicial
1.1: 14 de julho de 2023: Atualização da recomendação de correção
1.2: 20 de julho de 2023: ID do CVE adicionado

Resumo

Foi detectada uma vulnerabilidade no aplicativo da Web XPRTLD do Veritas InfoScale Operations Manager (VIOM).

Problema

O aplicativo da Web XPRTLD do VION permite que um invasor autenticado faça upload de todos os tipos de arquivo no servidor. Depois, o invasor autenticado pode executar o arquivo malicioso para rodar comandos no servidor remoto.

ID do CVE: CVE-2023-38404
Gravidade: Alta
Pontuação básica do CVSS v3.1: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
CWE-434: Upload de arquivos sem restrição com tipo perigoso

Pré-requisitos

Um invasor precisa ter acesso de administrador ao aplicativo da Web XPRTLD do VION.

Versões afetadas

Veritas InfoScale Operations Manager (VIOM) versões 7.0, 7.1, 7.2, 7.3, 7.3.1, 7.4, 7.4.2, 8.0. Versões anteriores não suportadas também podem ser afetadas.

Correção

Clientes com um contrato de manutenção atual devem fazer o upgrade do ambiente VIOM, conforme recomendado abaixo:

Faça o upgrade do servidor de gerenciamento do Veritas InfoScale Operations Manager (VIOM) para, no mínimo, a versão 8.0.0.410 ou 8.0.2.
Faça o upgrade dos agentes do VIOM para, no mínimo, a versão 7.4.2.810, 8.0.0.410 ou 8.0.2.0, dependendo da matriz de suporte.

Consulte o Veritas Download Center para saber quais atualizações estão disponíveis: https://www.veritas.com/support/pt_BR/downloads

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR).

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054, EUA